Dell Networking SONiC: Podsłuchiwanie protokołu Dynamic Host Configuration Protocol

Сводка: Ten artykuł zawiera informacje na temat podsłuchiwania protokołu DHCP (Dynamic Host Configuration Protocol) w dell Networking SONiC. W tym artykule wykorzystano przełącznik z technologią Dell SONiC 4.1. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Инструкции

Wymagania wstępne
Standardowe nazewnictwo interfejsów służy do demonstrowania koncepcji. Zapoznaj się z artykułem firmy Dell 202172 Dell Networking serii S: Konfiguracja interfejsu podstawowego — SONiC 4.0 — więcej informacji na temat nazewnictwa interfejsów


Indeks

Wprowadzenie
Konfiguracja
COPP warstwy DHCP 2Konfiguracja
podsłuchiwania DHCP IPv4Wyczyść wpisy z tabeli powiązania podsłuchiwania DHCP IPv4
Wyświetlanie informacji
o podsłuchiwaniu DHCP IPv4Konfiguracja
podsłuchiwania DHCP IPv6Wyczyść wpisy z tabeli powiązania podsłuchiwania DHCP IPv6
Wyświetlanie informacji o podsłuchiwaniu DHCP IPv6
 

Wprowadzenie

Podsłuchiwanie protokołu DHCP (Dynamic Host Configuration Protocol) to funkcja zabezpieczeń, która umożliwia przełącznikom w sieci monitorowanie komunikatów sterowania DHCP. Przełącznik może zidentyfikować fałszywe serwery i klienty DHCP w sieci przy użyciu komunikatów sterowania.

Po włączeniu podsłuchiwania DHCP przełącznik rozpoczyna monitorowanie pakietów sterowania DHCP zarówno z serwerów DHCP, jak i klientów. System używa tych informacji do utworzenia bazy danych.

Istnieją dwa typy interfejsów podsłuchiwania DHCP; zaufanych i niezaufanych interfejsów. Klienty DHCP są podłączane do niezaufanych interfejsów i serwerów DHCP do zaufanych interfejsów.

Gdy przełącznik odbiera komunikaty DHCP od klientów na niezaufanych portach, przekazuje pakiety do zaufanych portów w tej samej sieci VLAN. Po skonfigurowaniu portów łączących się z serwerami DHCP jako zaufanych system zrzuca wszystkie komunikaty DHCP-server-to-client otrzymywane w niezaufanych interfejsach.

Sprawdzając źródłowy adres MAC w nagłówku Ethernet z adresem MAC klienta w nagłówku DHCP, podsłuchiwanie DHCP minimalizuje pozyskiwanie dzierżawy DHCP przez złośliwe klienty DHCP.

Uwagi dotyczące konfiguracji:
  • Podsłuchiwanie DHCP jest obsługiwane przez protokół IPv4 i IPv6.
  • Podsłuchiwanie DHCPv6 działa tylko z serwerem stanu DHCPv6
  • Włącz globalne podsłuchiwanie DHCP i określone sieci VLAN.
  • Skonfiguruj porty w sieci VLAN tak, aby były zaufane lub niezaufane.
  • Domyślnie wszystkie porty są niezaufane.
  • Podłącz serwery DHCP za pośrednictwem zaufanych portów.
  • Podłączanie klientów DHCP za pośrednictwem niezaufanych portów.
  • W niezaufanych interfejsach przełącznik odrzuca pakiety DHCP, jeśli źródłowy adres MAC nie odpowiada adresowi sprzętoweowi klienta. Można wyłączyć to zachowanie, wyłączając funkcję Weryfikacja adresu MAC. Użyj tej funkcji dla przekaźnika DHCP i pakietów żądań emisji pojedynczej DHCP, które są kierowane.
  • Po włączeniu śledzeniu DHCP funkcja Sprawdzanie adresu MAC jest domyślnie włączona.
  • Podsłuchiwanie DHCP nie jest stosowane do sieci VLAN, na których podsłuchiwanie nie jest włączone.
  • Można skonfigurować ręczny wpis do tabeli powiązania podsłuchiwania DHCP.
  • Przed włączeniem podsłuchiwania DHCP usuń regułę COPP warstwy DHCP 3 i zainstaluj regułę COPP warstwy DHCP 2. Aby uzyskać więcej informacji, zapoznaj się z sekcją konfiguracji COPP warstwy DHCP 2 .
 

Konfiguracja COPP warstwy DHCP 2

Aby podsłuchiwanie DHCP działało, wykonaj następujące czynności konfiguracyjne:
  1. Odinstaluj reguły COPP warstwy DHCP 3. Jest to reguła domyślna.
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# no class copp-system-dhcp
  1. Instalacja reguły COPP warstwy DHCP 2 dla podsłuchiwania DHCP.

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure terminal
DELLSONiC(config)# policy-map copp-system-policy type copp
DELLSONiC(config-policy-map)# class copp-system-dhcpl2
DELLSONiC(config-policy-map-flow)# set copp-action copp-system-dhcp
 

Konfiguracja podsłuchiwania DHCP IPv4

Aby skonfigurować podsłuchiwanie DHCP, wykonaj następujące czynności:
  1. Włącz globalne podsłuchiwanie DHCP.
sonic(config)# ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping
  1. Konfiguracja interfejsów podłączonych do serwera DHCP jako zaufanych.
sonic(config-if)# ip dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ip dhcp snooping trust

DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. Włącz podsłuchiwanie DHCP na sieci VLAN lub na liście sieci VLAN.
sonic(config)# ip dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
UWAGA: Powyższy komunikat zawiera informacje. 
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Enabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  1. (opcjonalnie) Wyłącz weryfikację adresu MAC źródła DHCP
sonic(config)# no ip dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# no ip dhcp snooping verify mac-address
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (opcjonalnie) Utwórz statyczny wpis do tabeli powiązania podsłuchiwania DHCP.
sonic(config)# ip source binding source-ip-address source-mac-address vlan vlan-id interface interface-name
UWAGA: Użyj polecenia powiązania źródłowego ADRESU IP, aby usunąć wpis statyczny. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ip source binding 10.10.100.150 aa:bb:cc:dd:11:22 Vlan 100 Eth 1/1

DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
DELLSONiC#
 

Wyczyść wpisy z tabeli powiązania podsłuchiwania DHCP dla IPv4

Użyj następujących poleceń, aby wyczyścić wszystkie lub określone wpisy dynamiczne:
  • Wyczyść wszystkie dynamiczne wpisy powiązania DHCP podsłuchiwania IP:
sonic(config)# clear ip dhcp snooping binding
  • Skasuj określony wpis powiązania podsłuchiwania IP DHCP:
sonic(config)# clear ip dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Wyczyść statystyki podsłuchiwania DHCP:
sonic# clear ip dhcp snooping statistics
 

Wyświetlanie informacji o podsłuchiwaniu DHCP dla IPv4.

  • Wyświetlanie ogólnych informacji o podsłuchiwaniu DHCP:
sonic# show ip dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping source MAC verification is Disabled
DHCP snooping is enabled on the following VLANs: 100 200 201
DHCP snooping trusted interfaces: Eth1/1
  • Wyświetl bazę danych powiązania podsłuchiwania DHCP:
sonic# show ip dhcp snooping binding

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IP Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:22  10.10.100.150    100    Eth1/1       static   NA
  • Wyświetlanie statystyk podsłuchiwania DHCP:
sonic# show ip dhcp snooping statistics

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# show ip dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0
Eth1/5           0            0            0
Eth1/6           0            0            0
Eth1/7           0            0            0
 

Konfiguracja podsłuchiwania DHCP dla IPv6. 

Aby skonfigurować podsłuchiwanie DHCP, wykonaj następujące czynności:

  1. Włącz globalne podsłuchiwanie DHCP.
sonic(config)# ipv6 dhcp snooping

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# ipv6 dhcp snooping
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces:
DELLSONiC#
  1. Konfiguracja interfejsów podłączonych do serwera DHCP jako zaufanych.
sonic(config-if)# ipv6 dhcp snooping trust

admin@DELLSONiC:~$ sonic-cli
DELLSONiC#configure terminal
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)# show configuration
!
interface Eth1/1
 mtu 9100
 speed 100000
 unreliable-los auto
 no shutdown
 ip dhcp snooping trust
 ipv6 dhcp snooping trust
DELLSONiC(config-if-Eth1/1)#

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs:
DHCPv6 snooping trusted interfaces: Eth1/1
  1. Włącz podsłuchiwanie DHCP na sieci VLAN lub na liście sieci VLAN.
sonic(config)# ipv6 dhcp snooping vlan {vlan-id | vlan-list}

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 dhcp snooping vlan 100,200-201
%Info: Configuring only existing vlans in range
UWAGA: Powyższy komunikat zawiera informacje. 
DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Enabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
  1. (opcjonalnie) Wyłącz weryfikację adresu MAC źródła DHCP
sonic(config)# no ipv6 dhcp snooping verify mac-address

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# no ipv6 dhcp snooping verify mac-address

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  1. (opcjonalnie) Utwórz statyczny wpis do tabeli powiązania podsłuchiwania DHCP.
sonic(config)# ipv6 source binding source-ip-address source-mac-address vlan vlan-id interface interface-name

admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# ipv6 source binding 2001:db8:3333::7778 aa:bb:cc:dd:11:11 Vlan 100 Eth 1/1
DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
UWAGA: Użyj polecenia powiązania źródłowego ADRESU IP, aby usunąć wpis statyczny.

 

Wyczyść wpisy z tabeli powiązania podsłuchiwania DHCP dla IPv6 

Użyj następujących poleceń, aby wyczyścić wszystkie lub określone wpisy dynamiczne:

  • Wyczyść wszystkie dynamiczne wpisy powiązania DHCP podsłuchiwania IP:
sonic(config)# clear ipv6 dhcp snooping binding
  • Skasuj określony wpis powiązania podsłuchiwania IP DHCP:
sonic(config)# clear ipv6 dhcp snooping binding source-ip-address source-mac-address vlan vlan-id interface interface-name
  • Wyczyść statystyki podsłuchiwania DHCP:
sonic# clear ipv6 dhcp snooping statistics

 

Wyświetlanie informacji o podsłuchiwaniu DHCP dla IPv6. 

  • Wyświetlanie ogólnych informacji o podsłuchiwaniu DHCP:
sonic# show ipv6 dhcp snooping

DELLSONiC# show ipv6 dhcp snooping
DHCPv6 snooping is Enabled
DHCPv6 snooping source MAC verification is Disabled
DHCPv6 snooping is enabled on the following VLANs: 100 200 201
DHCPv6 snooping trusted interfaces: Eth1/1
DELLSONiC#
  • Wyświetl bazę danych powiązania podsłuchiwania DHCP: 
sonic# show ipv6 dhcp snooping binding 

DELLSONiC# show ipv6 dhcp snooping binding
Total number of Dynamic bindings: 0
Total number of Static bindings: 1
Total number of Tentative bindings: 0
MAC Address        IPv6 Address       VLAN   Interface    Type     Lease (Secs)
-----------------  ---------------  ----   -----------  -------  -----------
aa:bb:cc:dd:11:11  2001:db8:3333::7778  100    Eth1/1       static   NA
DELLSONiC#
  • Wyświetlanie statystyk podsłuchiwania DHCP: 
sonic# show ipv6 dhcp snooping statistics 

DELLSONiC# show ipv6 dhcp snooping statistics
Interface        MAC Verify   Client Ifc   DHCP Server
                 Failures     Mismatch     Msgs Recvd
---------------  ----------   ----------   -----------
Eth1/1           0            0            0
Eth1/2           0            0            0
Eth1/3           0            0            0
Eth1/4           0            0            0

Затронутые продукты

Enterprise SONiC Distribution, PowerSwitch S5048F-ON, PowerSwitch S5148F-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch S5448F-ON
Свойства статьи
Номер статьи: 000218723
Тип статьи: How To
Последнее изменение: 31 Oct 2023
Версия:  2
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.